層次分析法在信息系統(tǒng)風險評估中的應用分析

蘇艷琴 張光軼 楊小林

層次分析法在信息系統(tǒng)風險評估中的應用分析

蘇艷琴1張光軼2楊小林3

（1.海軍航空工程學院控制工程系煙臺264001）（2.海軍航空工程學院科研部煙臺264001）（3.軍委審計署濟南審計中心濟南250000）

針對信息系統(tǒng)安全的信息資產(chǎn)、脆弱性和威脅評估的基礎上，采用層次分析法對信息系統(tǒng)安全風險進行評估，構(gòu)建層次結(jié)構(gòu)后，計算相對權(quán)重和綜合權(quán)重，并通過一致性驗證后，得到威脅排序，從而為制定安全策略提供幫助。

層析分析法；信息系統(tǒng)；風險評估

Class NumberF224

1 引言

信息系統(tǒng)的信息安全和風險是一對矛盾，面對日益增長的信息系統(tǒng)安全需求，風險評估在信息系統(tǒng)安全中占據(jù)重要地位，是信息系統(tǒng)安全的首要基礎［1～2］。層次分析法（Analytic Hierarchy Process，AHP）是將定性與定量相結(jié)合，將人的主觀判斷用數(shù)量形式表達和處理的一種實用有效的多準則決策方法［3～4］。因此，開展層次分析法在信息系統(tǒng)風險評估研究是一種適合的方式。

2 層次分析法建模步驟

層次分析法是美國運籌學家，匹茲堡大學T.L.Saaty教授于20世紀70年代初提出的，它是一種定性與定量分析相結(jié)合的多準則決策分析方法，其基本思想是在決策目標的要求下，將決策對象相對于決策標準的優(yōu)劣狀況進行兩兩比較，最終獲得各個對象的總體優(yōu)劣狀況，為決策和評選優(yōu)先級別提供依據(jù)［5］。

運用層次分析法建模，大體上可按下面四個步驟進行，如圖1所示。

1）基于以上風險因素分析的基礎上，分析系統(tǒng)中各因素之間的關系，上一層次的元素作為準則對下一層次有關元素起支配作用，建立系統(tǒng)的遞階層次結(jié)構(gòu)。

2）對同一層次的各因素關于上一層次中某一準則的重要性進行兩兩比較，構(gòu)造兩兩比較判斷矩陣。定性分析中，在這一步中，假定以上一層元素支配的下一層次的元素按照準則C，即兩個元素a和b哪個更重要，重要多少，并按1～9標度對重要性程度賦值，如表1所示。

3）由判斷矩陣計算被比較元素對于該準則的相對權(quán)重。

4）計算各層次元素對系統(tǒng)目標的合成權(quán)重。

3 層次分析法在風險評估的應用步驟

現(xiàn)將層次分析法應用到安全風險評估上，針對資產(chǎn)從保密性、完整性、可用性三方面分析，而保密性、完整性、可用性又可根據(jù)其所屬的不同的類別的資產(chǎn)來判別：數(shù)據(jù)、軟件、硬件、服務、人員、其他，然后如此逐層細化分析。針對安全風險，從安全風險發(fā)生的概率和安全風險發(fā)生后果來考慮，而安全風險發(fā)生概率和安全風險發(fā)生的后果又可以從物理層、網(wǎng)絡層、系統(tǒng)層、應用層、管理層等五個方面來考慮，然后逐層細化分析［6～7］。針對安全策略，可以從風險發(fā)生的概率、風險對系統(tǒng)安全的影響、風險控制措施的選擇等三個方面來考慮，接下來的就是風險控制措施了。用這樣的方法逐層細化分析。

3.1 構(gòu)造遞階層次結(jié)構(gòu)

構(gòu)造遞階層次的過程實際上是對事物的剖析過程。對信息安全的風險評估，我們的目標是分析信息安全面臨的風險以及系統(tǒng)的安全級別，然后采取相應的控制措施［8～9］。圖2是系統(tǒng)風險評估中資產(chǎn)的遞階層次結(jié)構(gòu)圖。第一、二、三層之間判斷矩陣的元素都是全部考慮進來的，即準則層的保密性、完整性、可用性三者全都相對目標層的資產(chǎn)價值相對比較，生成一個3階的相對比較矩陣。同理第三層的中的所有元素相對第二層的每個元素有一個相對比較矩陣，生成3個6階的相對比較矩陣。但是第四層中并非所有元素都相對第三層中的每一個元素都有比較矩陣，其中的一部分別對第三層的每一個元素有比較矩陣。生成的比較矩陣階數(shù)分別為2，3，5，3，4、若干。

圖3是系統(tǒng)風險評估中風險的遞階層次結(jié)構(gòu)圖。

圖3 中的網(wǎng)絡層和應用層的內(nèi)容涉及比較多，圖的大小有限，羅列不全，這里補上。應用層有一系列的應用軟件例如MySQL、Office、SqlServer，Web漏洞掃描軟件、服務器、安全評估程序等。這一部分需要使用專家評價集，這與之前提到的單純的層次分析法有一定的差別。之前的比較矩陣中元素的取值均為1～9中的整數(shù)或其倒數(shù)，這一部分中比較矩陣的元素的取值應該是綜合n個專家的評價結(jié)果后得出的，專家在給出評價的時候需要輸入的只是0，1。綜合所有專家的評價結(jié)果，可以得到評價矩陣（隸屬度矩陣），然后對該矩陣處理就可以得到我們需要的判斷矩陣了。

圖4是系統(tǒng)風險評估中風險措施的遞階層次結(jié)構(gòu)圖。

其中具體的控制措施未列出，正如前面所提到的，針對不同的安全風險會有不同的控制措施，可能同時有多個控制措施來應對一個安全風險，所以我們的層次結(jié)構(gòu)模型能幫助評估者確定哪一個是最佳的控制措施，并且能對控制措施的選擇優(yōu)先權(quán)依次排序，以滿足用戶的需求。

3.2 計算第二、三層次的相對權(quán)重

先通過下層與上層的兩兩比較，確定其相對重要度，建立判斷矩陣［10～11］

其中，aij表示從目標層A的角度考慮要素Ci對要素Cj的相對重要度，而取值確定是需要按相對重要程度取1～9之間的自然數(shù)或者倒數(shù)。

由此得到，第二、三層的判斷矩陣后，再求和得到相對權(quán)重。然后，通過對特征向量W*進行歸一化處理，得到排序權(quán)向量W，并進行一致性檢驗。

其中，求和的步驟可以概括為

3.3 計算各層元素的組合權(quán)重

利用以上結(jié)果，計算得出遞階層次結(jié)構(gòu)中所有要素的組合權(quán)重［12～13］。從而，為下一步能夠得到安全風險值鋪墊。

4 層次分析法在信息安全風險評估的應用分析

4.1 構(gòu)建分析模型

4.2 建立判斷矩陣

1）準則層對目標層專家判斷矩陣，其中資產(chǎn)（A），資產(chǎn)轉(zhuǎn)化效能難易度（B），威脅技術(shù)（C），弱點被利用難易度（D）。

2）方案層（威脅層）對準則層比較矩陣威脅層對準則層各準則判斷矩陣分別為

4.3 計算組合權(quán)重，并作一致性檢驗

計算判斷矩陣最大特征根λmax及對應的特征向量。

準則層對目標層：

Step 1：將矩陣元素按列歸一化處理得

4.4 總排序

計算結(jié)果如表1所示。

表1 總排序

因此得到，威脅總排序為：P3，P2，P5，P1，P4。

由表可以看出，最有可能的威脅來自黑客攻擊，其次是越權(quán)訪問、篡改、病毒攻擊、物理破壞，相應發(fā)生概率為：0.303，0.280，0.201，0.125，0.091。

5 結(jié)語

論文將定性與定量結(jié)合得層次分析運用到信息系統(tǒng)的風險評估中進行分析，首先構(gòu)造信息安全風險評估的遞階層次結(jié)構(gòu)，運用AHP法計算得到相對權(quán)重，確定出各風險因素的風險等級，對信息系統(tǒng)提出風險控制建議。這是一種有效且操作性強的方法。

［1］馮登國，張陽，張玉清.信息安全風險評估綜述［J］.通信學報，2004，25（7）：10-18.

［2］T.L.Saaty.Axiomation foundation of the analytic hierarchy process［J］.Management Science，1986（32）：841-855.

［3］Xie C，Xujia G，Wang L.Information Security Assurance Lifecycle Research［J］.The Journal of China Universities of Posts and Telecommunications，2007，14（4）：77-81.

［4］朱建軍，王夢光，劉士新.AI｝P判斷矩陣一致性改進的若干問題研究［J］.系統(tǒng)工程理論與實踐，2007，27（1）：18-22.

［5］范紅，馮登國，吳亞非等.信息安全風險評估方法與應用（第1版）［M］.北京：清華大學出版社，2006：5-12.

［6］W H.Fu，S.Y Zhao.J.D.McCalley，V Vittal，N. Abi-Samra，Risk assessment forspecial protection systems［J］.IEEE Transactions on Power systems，2002，17（1）：27-31.

［7］張永錚，方濱興，遲悅，云曉春.用于評估網(wǎng)絡信息系統(tǒng)的風險傳播模型［J］.軟件學報，2007，18（1）：137-145.

［8］華中生，吳云燕，徐曉燕.一種AHP判斷矩陣一致性調(diào)整的新方法.系統(tǒng)工程與電子技術(shù)，2003，25（1）：38-40.

［9］陳亮.信息系統(tǒng)安全風險評估模型研究［J］.中國人民公安大學學報（自然科學版），2007，04：50-53.

［10］Chaoju H，Chunmei L.Method of Risk Assessment Based onClassified SecurityProtection and Fuzzy Neural Network［C］//Wearable Computing Systems（APWCS），2010Asia-PacificConference on.2010.

［11］EdwinB.Heinlein.Computer security in China［J］.Computers and Security，1996，15（5）：369-375.

［12］楊繼華.信息安全風險評估模型及方法研究［D］.西安：西安電子科技大學，2007.

［13］楊洋，姚淑珍.一種基于威脅分析的信息安全風險評估方法［J］.計算機工程與應用，2009，03：94，96-100.

Application of AHP in Information System Risk Assessment

SU Yanqin1ZHANG Guangyi2YANG Xiaolin3
（1.Control Department，Naval Aeronautical and Astronautical University，Yantai264001）（2.Science Research Department，Naval Aeronautical and Astronautical University，Yantai264001）（3.Jinan Audit Centre of PLA Audit Administration，Jinan250000）

On the base of information assets，vulnerability and threat assess，the analytic hierarchy process method was applied to assess the information system safety risk.After the hierarchical structure was established，the related weight and combined weight were calculated，and then the consistency was checked，the threat was sorted.It helped to give the safety strategy.

analytic hierarchy process，information system，risk assessment

F224

10.3969/j.issn.1672-9730.2017.06.020

2016年12月8日，

2017年1月30日

蘇艷琴，女，博士研究生，講師，研究方向：通信技術(shù)、通信裝備綜合保障。張光軼，男，博士研究生，助理研

究員，研究方向：計算機技術(shù)、網(wǎng)絡安全。楊小林，男，助理審計師，研究方向：計算機安全技術(shù)。